有一些命令和控制工具可以使用各种fof方法来隐藏恶意流量或以各种格式执行植入。Casey Smith最初开发了一个原型工具,它使用JavaScript作为有效载荷,并连接回监听Web服务器。一位安全研究人员3gstudent扩展了Casey Smith的工作,并在PowerShell中开发了JSRat,它提供了一些额外的功能。此工具的其他变体存在于Python中,因此主控主机可以是Linux机器或Windows。类似地,可以生成JavaScript植入物的另一个C2工具称为Nettitude的PoshC2。
JSRat是一个命令和控制工具,它使用JavaScript有效负载和HTTP协议进行服务器和目标主机之间的通信。Python中有两个实现,PowerShell中有一个实现,其用法如下所述:
Python
JSRat的python实现将启动一个Web服务器,它将等待执行客户端命令:
python MyJSRat.py -i192.168.1.203-p8080
用户访问客户端命令URL后,将与主机建立连接。JSRat可用于执行命令,运行可执行文件和脚本,或仅用于数据泄露。
为了建立适当的shell,需要执行JavaScript有效负载。此有效负载存储在以下URL中:
已生成的命令需要从命令提示符执行。
执行命令后,将收到一个shell。
可以像往常一样从shell执行命令。
JSRat还可以读取,下载或上传文件。
此工具还有另一个python实现,它提供了AppLocker旁路的方法(regsvr32)。
JSRat将生成并托管一个包含有效负载的scriptlet文件。
PowerShell
另外,还有一个这个JSRat的PowerShell实现,它可以从PowerShell控制台执行相同的操作。在执行任务之前,需要使用侦听器的IP地址修改脚本。
需要在目标上执行的payload命令也包含在脚本的注释中。
运行payload命令将连接目标主机,并将获得控制台。
命令可以像任何其他正常的命令提示一样在目标上执行。
结论
该命令和控制工具的主要优点是它不需要将任何植入物写入磁盘。它非常快,所有通信都是通过HTTP完成的,这是一种常见的协议。由于JSRat使用JavaScript有效负载,因此除非监视rundll32,否则检测很困难。启用和配置AppLocker以拒绝执行rundll32和regsvr32将防止攻击。
646
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
